Cisco CyberOps Associate - System operacyjny Windows

1. Pierwsze komputery używały prymitywnych metod przechowywania danych, takich jak karty dziurkowane czy taśmy magnetyczne. Dyski twarde i dyskietki wymagały oprogramowania do zarządzania danymi, co zapewniał system operacyjny dysku (DOS). Microsoft kupił DOS i stworzył MS-DOS, który używał linii poleceń jako interfejsu użytkownika.
MS-DOS umożliwiał komputerowi ładowanie systemu operacyjnego bezpośrednio z dysku podczas uruchamiania. Wczesne wersje Windows działały na MS-DOS, ale nowoczesne systemy operacyjne, takie jak Windows 11, są zbudowane na Windows NT i mają bezpośrednią kontrolę nad komputerem i jego sprzętem. Dzisiaj wiele zadań, które kiedyś były wykonywane za pomocą linii poleceń MS-DOS, można wykonać w interfejsie graficznym Windows. Jednak okno poleceń w Windows to już nie MS-DOS, to funkcja Windows.

2. Przykładowe polecenia konsoli (cmd) w systemach Windows:
  • dir - Wyświetla listę wszystkich plików w bieżącym katalogu (folderze)
  • cd directory - Zmienia katalog na wskazany katalog
  • cd … - Zmienia katalog na katalog powyżej bieżącego katalogu
  • cd \ - Zmienia katalog na katalog główny (często C:)
  • copy source destination - Kopiuje pliki do innego miejsca
  • del filename - Usuwa jeden lub więcej plików
  • find - Wyszukuje tekst w plikach
  • mkdir directory - Tworzy nowy katalog
  • ren oldname newname - Zmienia nazwę pliku
  • help - Wyświetla wszystkie polecenia, które mogą być używane, wraz z krótkim opisem
  • help command - Wyświetla szczegółową pomoc dla wskazanego polecenia
3. Windows posiada graficzny interfejs użytkownika (GUI) z głównym obszarem znanym jako Pulpit, który może być dostosowany przez użytkowników. Pulpit może przechowywać pliki, foldery, skróty i aplikacje, a także zawiera ikonę kosza na śmieci. Na dole pulpitu znajduje się pasek zadań z menu Start, ikonami szybkiego uruchamiania i obszarem powiadomień. Kliknięcie prawym przyciskiem myszy na ikonę często wywołuje Menu Kontekstowe z dodatkowymi funkcjami. Windows używa Eksploratora Plików Windows do otwierania folderów i manipulowania plikami.

4. Systemy operacyjne i oprogramowanie składają się z milionów linii kodu, które mogą zawierać podatności. Podatności to wady, które mogą być wykorzystane przez atakujących do naruszenia bezpieczeństwa komputera. Atakujący mogą wykorzystać te podatności, aby zmusić komputer do działania w sposób niezgodny z zamierzonym, zazwyczaj w celu uzyskania nieautoryzowanej kontroli, zmiany uprawnień lub manipulacji danymi.

5. Kilka powszechnych zaleceń dotyczących bezpieczeństwa systemu operacyjnego Windows:
  • Ochrona przed wirusami lub złośliwym oprogramowaniem - Domyślnie, Windows używa Windows Defender do ochrony przed złośliwym oprogramowaniem. Windows Defender dostarcza zestaw narzędzi ochronnych wbudowanych w system. Jeśli Windows Defender jest wyłączony, system staje się bardziej podatny na ataki i złośliwe oprogramowanie.
  • Nieznane lub niezarządzane usługi - Istnieje wiele usług, które działają w tle. Ważne jest, aby upewnić się, że każda usługa jest identyfikowalna i bezpieczna. Z nieznaną usługą działającą w tle, komputer może być podatny na atak.
  • Szyfrowanie - Gdy dane nie są szyfrowane, mogą być łatwo zebrane i wykorzystane. Jest to ważne nie tylko dla komputerów stacjonarnych, ale przede wszystkim dla urządzeń mobilnych.
  • Polityka bezpieczeństwa - Dobra polityka bezpieczeństwa musi być skonfigurowana i przestrzegana. Wiele ustawień w kontrolce Polityki Bezpieczeństwa Windows może zapobiec atakom.
  • Firewall - Domyślnie, Windows używa Windows Firewall do ograniczania komunikacji z urządzeniami w sieci. Z czasem zasady mogą przestać obowiązywać. Na przykład, port może być pozostawiony otwarty, który nie powinien być już łatwo dostępny. Ważne jest, aby regularnie przeglądać ustawienia zapory sieciowej, aby upewnić się, że zasady są nadal aktualne i usunąć te, które już nie obowiązują.
  • Uprawnienia do plików i udostępniania - Te uprawnienia muszą być poprawnie ustawione. Łatwo jest po prostu dać grupie “Wszyscy” pełną kontrolę, ale to pozwala wszystkim robić, co chcą ze wszystkimi plikami. Najlepiej jest zapewnić każdemu użytkownikowi lub grupie minimalne niezbędne uprawnienia do wszystkich plików i folderów.
  • Słabe lub brak hasła - Wiele osób wybiera słabe hasła lub w ogóle nie używa hasła. Szczególnie ważne jest, aby upewnić się, że wszystkie konta, zwłaszcza konto Administratora, mają bardzo silne hasło.
  • Logowanie jako Administrator - Gdy użytkownik loguje się jako administrator, każdy program, który uruchamia, będzie miał uprawnienia tego konta. Najlepiej jest logować się jako Standardowy Użytkownik i używać hasła administratora tylko do wykonania określonych zadań.
6. Komputery z systemem Windows korzystają z wielu różnych typów sprzętu. System operacyjny może być zainstalowany na zakupionym komputerze lub na komputerze złożonym przez użytkownika. Architektura systemu Windows:

7. Warstwa abstrakcji sprzętu (HAL) to oprogramowanie, które obsługuje całą komunikację między sprzętem a jądrem. Jądro jest rdzeniem systemu operacyjnego i ma kontrolę nad całym komputerem. Obsługuje wszystkie żądania wejścia i wyjścia, pamięć oraz wszystkie urządzenia peryferyjne podłączone do komputera.

8. Istnieją dwa różne tryby, w których działa procesor (CPU), gdy na komputerze zainstalowany jest system Windows: tryb użytkownika i tryb jądra.


Zainstalowane aplikacje działają w trybie użytkownika, natomiast kod systemu operacyjnego działa w trybie jądra. Kod wykonywany w trybie jądra ma nieograniczony dostęp do podstawowego sprzętu i jest zdolny do wykonania dowolnej instrukcji procesora. Kod trybu jądra może również bezpośrednio odwoływać się do dowolnego adresu pamięci. Funkcje systemu operacyjnego, które są najbardziej zaufane, zazwyczaj działają w trybie jądra, a ich awaria powoduje zatrzymanie działania całego komputera. Z drugiej strony, programy, takie jak aplikacje użytkownika, działają w trybie użytkownika i nie mają bezpośredniego dostępu do sprzętu ani lokalizacji pamięci. Kod trybu użytkownika musi korzystać z systemu operacyjnego, aby uzyskać dostęp do zasobów sprzętowych. Dzięki izolacji zapewnianej przez tryb użytkownika, awarie w tym trybie są ograniczone tylko do danej aplikacji i można je odwrócić. Większość programów w systemie Windows działa w trybie użytkownika. Sterowniki urządzeń, które są fragmentami oprogramowania umożliwiającymi komunikację systemu operacyjnego z urządzeniem, mogą działać w trybie jądra lub użytkownika, w zależności od sterownika.

Cały kod, który działa w trybie jądra, korzysta z tej samej przestrzeni adresowej. Sterowniki trybu jądra nie są izolowane od systemu operacyjnego. Jeśli wystąpi błąd ze sterownikiem działającym w trybie jądra i zapisze on do niewłaściwej przestrzeni adresowej, system operacyjny lub inny sterownik trybu jądra mogą być negatywnie dotknięte. W takim przypadku sterownik może ulec awarii, co może spowodować awarię całego systemu operacyjnego.

Gdy kod trybu użytkownika jest uruchamiany, jądro przyznaje mu własną ograniczoną przestrzeń adresową, wraz z procesem stworzonym specjalnie dla danej aplikacji. Głównym celem tej funkcjonalności jest przede wszystkim zapobieganie modyfikacji kodu systemu operacyjnego, który jest uruchomiony w tym samym czasie. Posiadając własny proces, aplikacja ma swoją własną prywatną przestrzeń adresową, co uniemożliwia innym aplikacjom modyfikowanie danych w niej zawartych. Pomaga to również zapobiegać awariom systemu operacyjnego i innych aplikacji, jeśli dana aplikacja ulegnie awarii.

9. System plików to sposób, w jaki informacje są organizowane na nośnikach danych. Niektóre systemy plików mogą być lepszym wyborem do użycia niż inne, w zależności od rodzaju używanego nośnika. Systemy plików, obsługujących przez system Windows.

exFAT - Jest to prosty system plików obsługiwany przez wiele różnych systemów operacyjnych. FAT ma ograniczenia co do liczby partycji, rozmiarów partycji i plików, dlatego rzadko jest już używany dla dysków twardych (HD) lub dysków SSD. Dostępne są FAT16 i FAT32, z czego FAT32 jest częściej używany, ponieważ ma mniej ograniczeń niż FAT16.

Hierarchical File System Plus (HFS+) - Ten system plików jest używany na komputerach MAC OS X i pozwala na dłuższe nazwy plików, większe rozmiary plików i partycji niż poprzednie systemy plików. Chociaż nie jest obsługiwany przez Windows bez specjalnego oprogramowania, Windows jest w stanie odczytać dane z partycji HFS+.

Extended File System (EXT) - Ten system plików jest używany na komputerach opartych na Linuxie. Chociaż nie jest obsługiwany przez Windows, Windows jest w stanie odczytać dane z partycji EXT za pomocą specjalnego oprogramowania.

New Technology File System (NTFS) - Jest to najczęściej używany system plików podczas instalacji Windows. Wszystkie wersje Windows i Linux obsługują NTFS. Komputery Mac-OS X mogą tylko odczytywać partycję NTFS, ale mogą na niej zapisywać po zainstalowaniu specjalnych sterowników. NTFS jest najczęściej używanym systemem plików dla Windows z wielu powodów. Obsługuje bardzo duże pliki i partycje, jest kompatybilny z innymi systemami operacyjnymi, niezawodny, obsługuje funkcje odzyskiwania i wiele funkcji bezpieczeństwa.

Zanim urządzenie do przechowywania danych, takie jak dysk, może być używane, musi być sformatowane za pomocą systemu plików. Z kolei, zanim system plików może być umieszczony na urządzeniu do przechowywania danych, urządzenie musi być podzielone na partycje. Dysk twardy jest podzielony na obszary zwane partycjami. Każda partycja to logiczna jednostka przechowywania, która może być sformatowana do przechowywania informacji, takich jak pliki danych lub aplikacje. Podczas procesu instalacji większość systemów operacyjnych automatycznie partycjonuje i formatuje dostępną przestrzeń dyskową za pomocą systemu plików, takiego jak NTFS.

Formatowanie NTFS tworzy ważne struktury na dysku do przechowywania plików i tabele do rejestrowania lokalizacji plików:

Sektor rozruchowy partycji - To są pierwsze 16 sektorów dysku. Zawiera lokalizację głównej tabeli plików (MFT). Ostatnie 16 sektorów zawierają kopię sektora rozruchowego. Główna Tabela Plików (MFT) - Ta tabela zawiera lokalizacje wszystkich plików i katalogów na partycji, w tym atrybuty plików, takie jak informacje o zabezpieczeniach i znaczniki czasu. Pliki systemowe - Są to ukryte pliki, które przechowują informacje o innych woluminach i atrybutach plików. Obszar plików - Główny obszar partycji, gdzie przechowywane są pliki i katalogi. Uwaga: Podczas formatowania partycji, poprzednie dane mogą być nadal odzyskiwalne, ponieważ nie wszystkie dane są całkowicie usuwane. Można zbadać wolną przestrzeń i odzyskać pliki, co może narazić na niebezpieczeństwo bezpieczeństwo. Zaleca się wykonanie bezpiecznego czyszczenia dysku, który ma być ponownie używany. Bezpieczne czyszczenie zapisuje dane na całym dysku wiele razy, aby upewnić się, że nie ma żadnych pozostałych danych.

10. Szczegółowy proces rozruchu systemu Windows:

Wiele działań zachodzi pomiędzy momentem naciśnięcia przycisku zasilania komputera a pełnym załadowaniem systemu Windows. Jest to znane jako proces bootowania Windows.

Istnieją dwa typy firmware'u komputera:
  • Podstawowy System Wejścia-Wyjścia (BIOS) - firmware BIOS został stworzony na początku lat 80. i działa w ten sam sposób, jak w momencie swojego powstania. Wraz z ewolucją komputerów, dla firmware BIOS stało się trudne obsługiwanie wszystkich nowych funkcji, które użytkownicy oczekiwali.
  • Zjednoczony Rozszerzalny Interfejs Firmware (UEFI) - UEFI został zaprojektowany, aby zastąpić BIOS i obsługiwać nowe funkcje.
W przypadku BIOSu, proces rozpoczyna się od fazy inicjalizacji BIOS. Wtedy urządzenia sprzętowe są inicjalizowane, a samo-test przy włączeniu (POST) jest przeprowadzany, aby upewnić się, że wszystkie te urządzenia są w stanie komunikować się. Kiedy dysk systemowy jest wykryty, POST kończy się. Ostatnia instrukcja w POST to poszukiwanie głównego rekordu rozruchowego (MBR).

MBR zawiera niewielki program, który jest odpowiedzialny za lokalizowanie i ładowanie systemu operacyjnego. BIOS wykonuje ten kod, a system operacyjny zaczyna się ładować.

W przeciwieństwie do BIOSu, UEFI ma dużą widoczność procesu bootowania. UEFI bootuje poprzez ładowanie plików programów EFI, przechowywanych jako pliki .efi w specjalnej partycji dysku, znanej jako Partycja Systemu EFI (ESP). Komputer, który używa UEFI, przechowuje kod bootowania w firmware. Pomaga to zwiększyć bezpieczeństwo komputera podczas bootowania, ponieważ komputer przechodzi bezpośrednio do trybu chronionego.

Niezależnie od tego, czy firmware to BIOS, czy UEFI, po zlokalizowaniu prawidłowej instalacji Windows, uruchamiany jest plik Bootmgr.exe. Bootmgr.exe przełącza system z trybu rzeczywistego do trybu chronionego, tak aby można było wykorzystać całą pamięć systemową.

Bootmgr.exe odczytuje Bazę Danych Konfiguracji Bootowania (BCD). BCD zawiera dodatkowy kod potrzebny do uruchomienia komputera, wraz z informacją, czy komputer wybudza się z hibernacji, czy jest to zimny start. Jeśli komputer wybudza się z hibernacji, proces bootowania kontynuuje Winresume.exe. Pozwala to komputerowi odczytać plik Hiberfil.sys, który zawiera stan komputera, kiedy został on wprowadzony do hibernacji.

Jeśli komputer jest bootowany od zimnego startu, wtedy jest ładowany plik Winload.exe. Plik Winload.exe tworzy rekord konfiguracji sprzętowej w rejestrze. Rejestr to zapis wszystkich ustawień, opcji, sprzętu i oprogramowania, które komputer posiada. Rejestr będzie dokładnie zbadany później w tym rozdziale. Winload.exe używa również Podpisu Kodu Trybu Jądra (KMCS), aby upewnić się, że wszystkie sterowniki są cyfrowo podpisane. Zapewnia to, że sterowniki są bezpieczne do załadowania podczas startu komputera.

Po zbadaniu sterowników, Winload.exe uruchamia Ntoskrnl.exe, który uruchamia jądro Windows i konfiguruje HAL. Na koniec, Podsystem Menedżera Sesji (SMSS) odczytuje rejestr, aby utworzyć środowisko użytkownika, uruchomić usługę Winlogon i przygotować pulpit każdego użytkownika podczas logowania.

11. Istnieją dwa istotne elementy rejestru, które są wykorzystywane do automatycznego uruchamiania aplikacji i usług:
  • HKEY_LOCAL_MACHINE - Ten klucz przechowuje różne aspekty konfiguracji Windows, w tym informacje o usługach, które uruchamiają się przy każdym starcie systemu.
  • HKEY_CURRENT_USER - Ten klucz przechowuje różne aspekty związane z aktualnie zalogowanym użytkownikiem, w tym informacje o usługach, które uruchamiają się tylko wtedy, gdy użytkownik loguje się na komputer.
Różne wpisy w tych lokalizacjach rejestru określają, które usługi i aplikacje będą uruchamiane, co wskazuje ich typ wpisu. Do tych typów należą Run, RunOnce, RunServices, RunServicesOnce i Userinit. Te wpisy mogą być ręcznie wprowadzane do rejestru, ale znacznie bezpieczniej jest korzystać z narzędzia Msconfig.exe. To narzędzie służy do przeglądania i modyfikowania wszystkich opcji startowych komputera. Aby znaleźć i otworzyć narzędzie Msconfig, użyj pola wyszukiwania.

Narzędzie Msconfig otwiera okno Konfiguracji Systemu. Zawiera ono pięć zakładek, które prezentują opcje konfiguracji.
  • Ogólne - Tutaj można wybrać jeden z trzech różnych typów startu. Normalny ładuje wszystkie sterowniki i usługi. Diagnostyczny ładuje tylko podstawowe sterowniki i usługi. Wybiórczy pozwala użytkownikowi wybrać, co ma być ładowane podczas startu.
  • Rozruch - Tutaj można wybrać dowolny zainstalowany system operacyjny do uruchomienia. Są tu również opcje dla Safe boot, które są używane do rozwiązywania problemów ze startem.
  • Usługi - Wszystkie zainstalowane usługi są tutaj wymienione, aby mogły być wybrane do uruchomienia podczas startu.
  • Uruchamianie - Wszystkie aplikacje i usługi, które są skonfigurowane do automatycznego uruchamiania podczas startu, mogą być włączone lub wyłączone poprzez otwarcie menedżera zadań z tej zakładki.
  • Narzędzia - Wiele powszechnych narzędzi systemu operacyjnego można uruchomić bezpośrednio z tej zakładki.
12. Podczas wyłączania, komputer najpierw zamyka aplikacje w trybie użytkownika, a następnie procesy w trybie jądra. Jeśli proces w trybie użytkownika nie odpowiada w określonym czasie, system operacyjny wyświetli powiadomienie i pozwoli użytkownikowi czekać na odpowiedź aplikacji lub wymusi zakończenie procesu. Jeśli proces w trybie jądra nie odpowiada, wyłączanie może wydawać się zawieszone, i może być konieczne wyłączenie komputera za pomocą przycisku zasilania.

13. Aplikacja może mieć jeden lub wiele procesów do niej dedykowanych. Proces to każdy program, który jest aktualnie wykonywany. Każdy uruchomiony proces składa się przynajmniej z jednego wątku. Wątek to część procesu, która może być wykonana. Procesor wykonuje obliczenia na wątku. 

Wszystkie wątki dedykowane do procesu są zawarte w tej samej przestrzeni adresowej. Oznacza to, że te wątki nie mogą uzyskać dostępu do przestrzeni adresowej żadnego innego procesu. Zapobiega to uszkodzeniu innych procesów. Ponieważ Windows obsługuje wielozadaniowość, wiele wątków może być wykonywanych jednocześnie. Ilość wątków, które mogą być wykonywane jednocześnie, zależy od liczby procesorów komputera.

Usługi programy, które działają w tle, aby wspierać system operacyjny i aplikacje. Mogą być ustawione na automatyczne uruchamianie podczas bootowania Windows, lub mogą być uruchamiane ręcznie. Mogą być również zatrzymane, zrestartowane lub wyłączone. Usługi zapewniają długotrwałą funkcjonalność, taką jak bezprzewodowy dostęp do serwera FTP.

14. Komputer działa poprzez przechowywanie instrukcji w pamięci RAM aż do momentu ich przetworzenia przez procesor. Przestrzeń adresowa procesu to zbiór adresów wirtualnych, które proces może wykorzystać. Adres wirtualny to nie fizyczna lokalizacja w pamięci, ale wpis w tabeli stron, który jest używany do przekształcenia adresu wirtualnego na adres fizyczny.

Każdy proces w 32-bitowym komputerze z systemem Windows obsługuje przestrzeń adresową, która umożliwia adresowanie do 4 gigabajtów. Każdy proces w 64-bitowym komputerze z systemem Windows obsługuje przestrzeń adresową do 8 terabajtów.

Każdy proces w przestrzeni użytkownika działa w prywatnej przestrzeni adresowej, oddzielnej od innych procesów w tej samej przestrzeni. Kiedy proces w przestrzeni użytkownika musi uzyskać dostęp do zasobów jądra, musi skorzystać z uchwytu procesu. Jest to konieczne, ponieważ procesowi w przestrzeni użytkownika nie wolno bezpośrednio uzyskiwać dostępu do tych zasobów jądra. Uchwyt procesu zapewnia potrzebny dostęp dla procesu w przestrzeni użytkownika bez bezpośredniego połączenia z nim.

Potężnym narzędziem do analizy alokacji pamięci jest RAMMap. RAMMap jest częścią zestawu narzędzi Windows Sysinternals Suite. Można go pobrać z Microsoftu. RAMMap dostarcza obszernych informacji na temat tego, jak system Windows przydzielił pamięć systemową dla jądra, procesów, sterowników i aplikacji.

15. Windows przechowuje wszystkie informacje o sprzęcie, aplikacjach, użytkownikach i ustawieniach systemowych w dużej bazie danych znanym jako rejestr. Sposoby, w jakie te obiekty współdziałają, są również rejestrowane, na przykład jakie pliki otwiera aplikacja i wszystkie szczegóły właściwości folderów i aplikacji. Rejestr to hierarchiczna baza danych, gdzie najwyższym poziomem jest tzw. ul, poniżej którego znajdują się klucze, a następnie podklucze. Wartości przechowują dane i są przechowywane w kluczach i podkluczach. Klucz rejestru może mieć do 512 poziomów głębokości.

Poniżej przedstawiam pięć uli rejestru Windows wraz z ich opisem:
  • HKEY_CURRENT_USER (HKCU) - Przechowuje informacje dotyczące aktualnie zalogowanego użytkownika.
  • HKEY_USERS (HKU) - Przechowuje informacje dotyczące wszystkich kont użytkowników na hoście.
  • HKEY_CLASSES_ROOT (HKCR) - Przechowuje informacje o rejestracjach powiązań i osadzania obiektów (OLE). OLE pozwala użytkownikom osadzać obiekty z innych aplikacji (takie jak arkusz kalkulacyjny) w jednym dokumencie (takim jak dokument Word).
  • HKEY_LOCAL_MACHINE (HKLM) - Przechowuje informacje związane z systemem.
  • HKEY_CURRENT_CONFIG (HKCC) - Przechowuje informacje o aktualnym profilu sprzętowym.
Nie można tworzyć nowych uli. Klucze i wartości w ulach mogą być tworzone, modyfikowane lub usuwane przez konto z uprawnieniami administracyjnymi. Jak pokazano na rysunku, narzędzie regedit.exe służy do modyfikowania rejestru. Należy zachować ostrożność podczas korzystania z tego narzędzia. Drobne zmiany w rejestrze mogą mieć ogromne, a nawet katastrofalne skutki.

Nawigacja w rejestrze jest bardzo podobna do eksploratora plików Windows. Użyj lewego panelu do nawigacji po ulach i strukturze poniżej, a prawy panel do wyświetlania zawartości zaznaczonego elementu w lewym panelu. Z tak wieloma kluczami i podkluczami, ścieżka klucza może stać się bardzo długa. Ścieżka jest wyświetlana na dole okna dla odniesienia. Ponieważ każdy klucz i podklucz to w zasadzie kontener, ścieżka jest reprezentowana podobnie jak folder w systemie plików. Ukośnik () jest używany do różnicowania hierarchii bazy danych.

Klucze rejestru mogą zawierać albo podklucz, albo wartość. Różne wartości, które mogą zawierać klucze, to:
  • REG_BINARY - Liczby lub wartości logiczne
  • REG_DWORD - Liczby większe niż 32 bity lub surowe dane
  • REG_SZ - Wartości ciągów
Ponieważ rejestr przechowuje prawie wszystkie informacje o systemie operacyjnym i użytkowniku, niezwykle ważne jest, aby upewnić się, że nie zostanie on skompromitowany. Potencjalnie złośliwe aplikacje mogą dodawać klucze rejestru, aby uruchamiać się, gdy komputer jest uruchamiany. Podczas normalnego bootowania użytkownik nie zobaczy uruchomienia programu, ponieważ wpis znajduje się w rejestrze, a aplikacja nie wyświetla okien ani oznak uruchomienia podczas bootowania komputera. Keylogger, na przykład, byłby katastrofalny dla bezpieczeństwa komputera, gdyby uruchamiał się przy starcie bez wiedzy lub zgody użytkownika. Podczas przeprowadzania normalnych audytów bezpieczeństwa, lub naprawiania zainfekowanego systemu, przejrzyj lokalizacje startowe aplikacji w rejestrze, aby upewnić się, że każdy element jest znany i bezpieczny do uruchomienia.

Rejestr zawiera również aktywność, którą użytkownik wykonuje podczas normalnego codziennego korzystania z komputera. Obejmuje to historię urządzeń sprzętowych, w tym wszystkie urządzenia, które były podłączone do komputera, w tym nazwę, producenta i numer seryjny. Inne informacje, takie jak jakie dokumenty otworzył użytkownik i program, gdzie się znajdują i kiedy były dostępne, są przechowywane w rejestrze. Wszystko to jest bardzo przydatne, gdy trzeba przeprowadzić śledztwo kryminalistyczne.

16. Jako praktyka bezpieczeństwa nie jest zalecane logowanie się do systemu Windows przy użyciu konta Administratora lub konta z uprawnieniami administracyjnymi. Wynika to z faktu, że każdy program uruchomiony w trybie uprawnień administracyjnych dziedziczy te same uprawnienia. Złośliwe oprogramowanie, które ma uprawnienia administracyjne, ma pełny dostęp do wszystkich plików i folderów na komputerze.

17. Podczas pierwszego uruchomienia nowego komputera lub instalacji systemu Windows, użytkownik tworzy konto lokalne z indywidualnymi ustawieniami i danymi. Domyślnie wyłączone są również konta gościa i administratora.

Zaleca się, aby nie aktywować konta Administratora ani nie nadawać zwykłym użytkownikom uprawnień administracyjnych. W razie potrzeby wykonania działań administracyjnych, system poprosi o hasło Administratora.

Konto Gościa, które nie ma hasła i służy użytkownikom tymczasowym, również nie powinno być aktywane.

System Windows ułatwia zarządzanie użytkownikami poprzez grupy z określonymi uprawnieniami. Użytkownik może należeć do wielu grup, a w przypadku nakładających się uprawnień, niektóre z nich, jak “wyraźne odrzucenie”, mają pierwszeństwo. Grupom użytkowników w systemie Windows można przydzielać różne zadania. Zarządzanie lokalnymi użytkownikami i grupami odbywa się przez aplet lusrmgr.msc.

18. Oprócz grup, system Windows może również używać domen do ustawiania uprawnień. Domena to rodzaj usługi sieciowej, w której wszyscy użytkownicy, grupy, komputery, urządzenia peryferyjne i ustawienia bezpieczeństwa są przechowywane i kontrolowane przez bazę danych. Ta baza danych jest przechowywana na specjalnych komputerach lub grupach komputerów zwanych kontrolerami domeny (DC). Każdy użytkownik i komputer w domenie musi się uwierzytelnić względem DC, aby zalogować się i uzyskać dostęp do zasobów sieciowych. Ustawienia bezpieczeństwa dla każdego użytkownika i komputera są ustawiane przez DC dla każdej sesji. Jakiekolwiek ustawienie dostarczone przez DC staje się domyślne dla lokalnego komputera lub konta użytkownika.

19. Interfejs wiersza poleceń (CLI) w Windows służy do uruchamiania programów i zarządzania plikami. Można tworzyć pliki wsadowe do wykonania serii poleceń. Do uruchomienia CLI służy cmd.exe

PowerShell to zaawansowane środowisko do automatyzacji zadań, które CLI nie obsługuje. typy poleceń, które PowerShell może wykonać:

  • cmdlets - Te polecenia wykonują akcję i zwracają wynik lub obiekt do następnego polecenia, które zostanie wykonane.
  • Skrypty PowerShell - Są to pliki z rozszerzeniem .ps1, które zawierają polecenia PowerShell, które są wykonywane.
  • Funkcje PowerShell - Są to fragmenty kodu, które mogą być odwoływane w skrypcie.

20. Windows Management Instrumentation (WMI) służy do zarządzania zdalnymi komputerami. Może pobierać informacje o komponentach komputera oraz statystykach sprzętu i oprogramowania. Obecnie niektóre ataki wykorzystują WMI do łączenia się z systemami zdalnymi, modyfikowania rejestru i uruchamiania poleceń. WMI pomaga uniknąć wykrycia, ponieważ jest to powszechny ruch, często uznawany za zaufany przez urządzenia bezpieczeństwa sieciowego, a zdalne polecenia WMI zwykle nie pozostawiają śladów na zdalnym hoście. Ze względu na to, dostęp do WMI powinien być ściśle ograniczony.

21. Polecenie net w systemie Windows jest używane w administracji i konserwacji systemu operacyjnego. Pozwala na wykonywanie różnych zadań związanych z siecią, użytkownikami, sesjami i usługami. Przykłady przełączników:

  • net accounts: Pozwala na zarządzanie ustawieniami kont użytkowników, takimi jak okresy wygaśnięcia hasła, minimalna długość hasła itp.
  • net user: Umożliwia zarządzanie kontami użytkowników, takie jak tworzenie, usuwanie, zmiana hasła itp.
  • net session: Wyświetla informacje o aktywnych sesjach użytkowników na komputerze.
  • net start: Uruchamia lub zatrzymuje usługi systemowe.
  • net use: Pozwala na mapowanie dysków sieciowych na lokalne litery dysków.
  • net view: Wyświetla listę dostępnych zasobów sieciowych.

22. Menadżer zadań w systemie Windows dostarcza wielu informacji o działających programach i ogólnej wydajności komputera.

Zakładki w Menadżerze zadań:

  1. Procesy: Wyświetla listę wszystkich aktualnie działających programów i procesów, ich użycie CPU, pamięci, dysku i sieci. Można badać właściwości procesu lub zakończyć jego działanie, jeśli nie działa poprawnie lub się zawiesił.
  2. Wydajność: Zapewnia przegląd statystyk wydajności CPU, pamięci, dysku i sieci. Kliknięcie każdego elementu w lewym okienku pokaże szczegółowe statystyki tego elementu w prawym okienku.
  3. Historia aplikacji: Użycie zasobów przez aplikacje w czasie daje wgląd w aplikacje, które zużywają więcej zasobów niż powinny. Można wyświetlić historię wszystkich procesów od momentu uruchomienia komputera.
  4. Aplikacje autostartu: Wyświetla wszystkie aplikacje i usługi, które startują podczas uruchamiania komputera. Aby wyłączyć program z autostartu, kliknij prawym przyciskiem myszy i wybierz opcję Wyłącz.
  5. Użytkownicy: Pokazuje wszystkich użytkowników zalogowanych na komputerze oraz zasoby wykorzystywane przez ich aplikacje i procesy. Administrator może z tej zakładki odłączyć użytkownika od komputera.
  6. Szczegóły: Podobnie jak zakładka Procesy, ta zakładka oferuje dodatkowe opcje zarządzania procesami, takie jak ustawienie priorytetu procesu czy określenie, który rdzeń lub CPU ma być używany przez program. Funkcja “Analiza łańcucha oczekiwania” pokazuje, czy inny proces czeka na dany proces.
  7. Usługi: Wyświetla wszystkie załadowane usługi wraz z identyfikatorem procesu (PID) i krótkim opisem, a także stanem Działający lub Zatrzymany. Na dole znajduje się przycisk otwierający konsolę Usług, która zapewnia dodatkowe zarządzanie usługami.

Monitor zasobów

Gdy potrzebne są bardziej szczegółowe informacje o użyciu zasobów, można użyć Monitora zasobów.

Monitor zasobów może pomóc znaleźć źródło problemu, gdy komputer działa nienormalnie.

Zakładki monitora zasobów:

  1. Przegląd: Wyświetla ogólne użycie każdego zasobu. Wybranie pojedynczego procesu spowoduje jego filtrowanie we wszystkich zakładkach, aby pokazać tylko statystyki tego procesu.
  2. CPU: Pokazuje PID, liczbę wątków, używany CPU i średnie użycie CPU przez każdy proces. Dodatkowe informacje o usługach, na których polega proces, oraz powiązane uchwyty i moduły można zobaczyć, rozszerzając dolne wiersze.
  3. Pamięć: Wyświetla wszystkie informacje statystyczne o tym, jak każdy proces używa pamięci. Poniżej wiersza Procesy pokazany jest również przegląd użycia całej pamięci RAM.
  4. Dysk: Pokazuje wszystkie procesy korzystające z dysku wraz ze statystykami odczytu/zapisu i przeglądem każdego urządzenia przechowującego.
  5. Sieć: Wyświetla wszystkie procesy korzystające z sieci wraz ze statystykami odczytu/zapisu. Najważniejsze są bieżące połączenia TCP oraz wszystkie nasłuchujące porty. Ta zakładka jest bardzo przydatna podczas określania, które aplikacje i procesy komunikują się przez sieć. Umożliwia to stwierdzenie, czy nieautoryzowany proces uzyskuje dostęp do sieci, nasłuchuje komunikacji i z jakim adresem się komunikuje.
23. Do konfiguracji właściwości sieciowych Windows i przetestować ustawienia sieciowe, używane jest Centrum sieci i udostępniania. Aby przetestować tzw. System Nazw Domenowych (DNS), ( niezbędny do znajdowania adresów hostów poprzez tłumaczenie ich z nazwy, takiej jak URL) używa się polecenia nslookup. Aby sprawdzić, które porty są otwarte, gdzie są podłączone i jaki jest ich obecny status należy użyć polecenia netstat w wierszu poleceń, aby zobaczyć szczegóły aktywnych połączeń sieciowych.

24. Windows wykorzystuje sieć do różnych aplikacji, w tym SMB opracowany przez IBM i Microsoft do udostępniania zasobów sieciowych. Format UNC (np. \\\\servername\\sharename\\file) służy do połączenia z zasobami. Udziały administracyjne są oznaczone znakiem dolara ($) i dostępne tylko dla administratorów.

Do połączenia z udziałem używa się Eksploratora plików Windows. Poświadczenia dostępu muszą dotyczyć zdalnego komputera.

RDP (protokół pulpitu zdalnego) umożliwia zdalne logowanie i manipulację komputerem. Ze względów bezpieczeństwa należy ostrożnie aktywować RDP, szczególnie w starszych wersjach Windows, i stosować polityki kontroli dostępu, takie jak Zero Trust, aby ograniczyć dostęp do wewnętrznych hostów.

25. Gdy na komputerze obecne jest złośliwe oprogramowanie, często otwiera ono porty komunikacyjne na hoście, aby wysyłać i odbierać dane. Polecenie netstat może być używane do wyszukiwania nieautoryzowanych połączeń przychodzących lub wychodzących. Użyte samodzielnie, polecenie netstat wyświetli wszystkie aktywne połączenia TCP.

Analizując te połączenia, można określić, które z programów nasłuchują na nieautoryzowane połączenia. Gdy program jest podejrzany o bycie złośliwym oprogramowaniem, można przeprowadzić pewne badania, aby określić jego legalność. Stamtąd proces można zamknąć za pomocą Menadżera zadań, a oprogramowanie do usuwania złośliwego oprogramowania może być użyte do oczyszczenia komputera.

Aby ułatwić ten proces, można połączyć połączenia z działającymi procesami, które je utworzyły w Menadżerze zadań. Aby to zrobić, otwórz wiersz poleceń z uprawnieniami administracyjnymi i wprowadź polecenie netstat -abno, jak pokazano na wyjściu polecenia.

26. Podgląd Zdarzeń Windows rejestruje historię zdarzeń aplikacji, bezpieczeństwa i systemu. Te pliki dziennika są cennym narzędziem do rozwiązywania problemów, ponieważ dostarczają informacji niezbędnych do zidentyfikowania problemu. Windows zawiera dwie kategorie dzienników zdarzeń: Dzienniki Windows oraz Dzienniki aplikacji i usług. Każda z tych kategorii ma wiele typów dzienników. Zdarzenia wyświetlane w tych dziennikach mają poziom: informacja, ostrzeżenie, błąd lub krytyczny. Mają również datę i czas wystąpienia zdarzenia, wraz z źródłem zdarzenia i identyfikatorem, który odnosi się do tego typu zdarzenia. 

Istnieje wbudowany niestandardowy widok o nazwie Zdarzenia administracyjne, który pokazuje wszystkie zdarzenia krytyczne, błędy i ostrzeżenia ze wszystkich dzienników administracyjnych. 

27. Polityka bezpieczeństwa to zestaw celów zapewniających ochronę sieci, danych i systemów komputerowych w organizacji. Jest to dokument ciągle ewoluujący w oparciu o zmiany w technologii, biznesie i wymaganiach pracowników.

W sieciach wykorzystujących komputery z systemem Windows konfiguruje się Active Directory z domenami na serwerze Windows. Komputery dołączają do domeny. Administrator konfiguruje Politykę Bezpieczeństwa Domeny, która ma zastosowanie do wszystkich komputerów dołączających do domeny. Polityki kont są automatycznie ustawiane, gdy użytkownik loguje się na komputer będący częścią domeny. Lokalna Polityka Bezpieczeństwa Windows może być używana dla komputerów niebędących częścią domeny Active Directory.

Wytyczne dotyczące haseł są ważnym elementem polityki bezpieczeństwa. Każdy użytkownik, który musi zalogować się na komputer lub połączyć z zasobem sieciowym, powinien być zobowiązany do posiadania hasła. Hasła pomagają potwierdzić, że rejestrowanie zdarzeń jest ważne, zapewniając, że użytkownik jest osobą, za którą się podaje. W Lokalnej Polityce Bezpieczeństwa, Polityka Haseł znajduje się w Politykach Kont i definiuje kryteria dla haseł wszystkich użytkowników na lokalnym komputerze.

Ważne jest, aby upewnić się, że komputery są bezpieczne, gdy użytkownicy są nieobecni. Polityka bezpieczeństwa powinna zawierać zasadę wymagającą blokady komputera, gdy uruchamia się wygaszacz ekranu. Zapewni to, że po krótkim czasie nieobecności przy komputerze, wygaszacz ekranu się uruchomi, a komputer nie będzie mógł być używany do czasu zalogowania się użytkownika.

Aplet Lokalnej Polityki Bezpieczeństwa zawiera wiele innych ustawień bezpieczeństwa, które mają zastosowanie specjalnie do lokalnego komputera. Możesz skonfigurować Prawa Użytkowników, Zasady Firewalla, a nawet zdolność do ograniczenia plików, które użytkownicy lub grupy mają prawo uruchamiać za pomocą AppLocker.

28. Złośliwe oprogramowanie obejmuje wirusy, robaki, konie trojańskie, keyloggery, spyware i adware. Są one zaprojektowane do naruszania prywatności, kradzieży informacji, uszkadzania komputera lub uszkadzania danych. Ważne jest, aby chronić komputery i urządzenia mobilne za pomocą renomowanego oprogramowania antymalware. Dostępne są następujące typy programów antymalware:

  • Ochrona antywirusowa - Ten program ciągle monitoruje obecność wirusów. Gdy wirus zostanie wykryty, użytkownik jest ostrzegany, a program próbuje go poddać kwarantannie lub usunąć.
  • Ochrona przed adware - Ten program ciągle szuka programów wyświetlających reklamy na komputerze.
  • Ochrona przed phishingiem - Ten program blokuje adresy IP znanych stron phishingowych i ostrzega użytkownika przed podejrzanymi witrynami.
  • Ochrona przed spyware - Ten program skanuje w poszukiwaniu keyloggerów i innego spyware.
  • Zaufane/niezaufane źródła - Ten program ostrzega przed niebezpiecznymi programami, które mają być zainstalowane lub niebezpiecznymi stronami internetowymi przed ich odwiedzeniem.

Kilka renomowanych organizacji bezpieczeństwa, takich jak McAfee, Symantec i Kaspersky, oferuje kompleksową ochronę przed malware dla komputerów i urządzeń mobilnych. Windows ma wbudowaną ochronę przed wirusami i spyware o nazwie Windows Defender. Windows Defender jest domyślnie włączony, aby zapewnić ochronę w czasie rzeczywistym przed infekcją.

Firewall selektywnie blokuje ruch do komputera lub segmentu sieci. Firewalle zazwyczaj działają poprzez otwieranie i zamykanie portów używanych przez różne aplikacje. Otwierając tylko wymagane porty na firewallu, da się wprowadzić restrykcyjną politykę bezpieczeństwa. Każdy pakiet, który nie jest wyraźnie dozwolony, jest odrzucany. W przeciwieństwie do tego, permisywna polityka bezpieczeństwa zezwala na dostęp przez wszystkie porty, z wyjątkiem tych wyraźnie odrzuconych. W przeszłości oprogramowanie i sprzęt były dostarczane z permisywnymi ustawieniami. Ponieważ użytkownicy zaniedbywali konfigurację swojego sprzętu, domyślne permisywne ustawienia pozostawiły wiele urządzeń narażonych na atakujących. Większość urządzeń jest obecnie dostarczana z możliwie jak najbardziej restrykcyjnymi ustawieniami, jednocześnie umożliwiając łatwą konfigurację.

Wiele dodatkowych ustawień można znaleźć w Ustawieniach zaawansowanych. Istnieje opcja tworzenia reguł ruchu przychodzącego lub wychodzącego na podstawie różnych kryteriów. Da się również importować i eksportować polityki lub monitorować różne aspekty firewalla.